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Lors du TD précédent, nous avons vu comment créer une base de données, l'administrer via phpMyAdmin mais également 
comment l'utiliser depuis un programme PHP pour insérer des données dans la base puis afficher ces données dans une 
page Web. 


Dans ce TD nous allons voir comment réaliser un module de gestion d'utilisateurs pour un site Web dynamique en utilisant 
une base de données et le mécanisme des sessions de PHP. Pour cela, nous allons vous guider pas à pas dans la 
réalisation des différents éléments de ce module. 


Ce TD suivra le plan suivant : 


. découverte des formulaires HTML ; 

. création d'un mécanisme de login pour votre site ; 

. création d'un mécanisme de gestion des utilisateurs pour votre site ; 

. restrictions d'accès à certaines parties de votre site en fonction des types d'utilisateurs. 


| 1. À la découverte des formulaires HTML 


Les formulaires permettent à l'utilisateur de saisir des données et de les envoyer au serveur, qui utilise ces données pour 
générer le contenu de la page Web de façon persomalisée. Ainsi par exemple, un formulaire peut permettre à l'utilisateur 
de saisir son âge, et cette donnée est utilisée par Le serveur qui pourra masquer certaines parties d'une page Web qui ne 
sont pas accessible aux mineurs. Dans cette partie du TD, nous allons voir comment créer des formulaires HTML et envoyer 
les entrées de l'utilisateur au serveur. 


| 1.1 Le plus simple des formulaires 


Le fonctionnement des formulaires est le suivant : 


AWN- 


e Une première page présente à l'utilisateur le formulaire à proprement parler, c'est-à-dire un certain nombre de 
champs à remplir (texte libre, case à cocher, etc.). Cette page indique en outre quelle page doit être chargée lors 
de la validation du formulaire. 

e Cette seconde page reçoit le contenu des champs du formulaire et affiche un résultat. Ce résultat peut être un 
simple message (statique) de confirmation, ou bien peut être généré dynamiquement (entre autres par un script 
PHP), à partir des données du formulaire foumies. 


Le schéma suivant illustre ce principe : 
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Dans un premier temps, nous allons créer deux pages en HTML pur ; nous ajouterons du PHP ensuite. Le formulaire est 
donné ci-dessous. 


solutions/formulaire1.php 


!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" 
"http://www.w3.org/TR/xhtml1/DTD/xhtmli-strict.dtd"> 


html xmins="http://www.w3.0rg/1999/xhtml"> 


head> 

<title>Formulaire</title> 

<meta http-equiv="Content-Type" content="text/html;charset=UTF-8" /> 
/head> 


body> 
<h1>Mon premier formulaire !</h1> 


<form action="resultatl.php" method="get"> 
<p>Prénom : <input name="prenom" /></p> 
p- Genre 
<input checked="true" name="genre" value="f" type="radio" />F 
<input name="genre" value="m" type="radio" />M 
LME 
<p><input type="submit" value="Valider" /></p> 
</form> 
/body> 


/html> 


Le formulaire lui-même est entouré de balises <£orm> ... </form>. Dans la balise ouvrante, l'attribut action indique le 
nom de la page à afficher lors de l'envoi des données. Nous parlerons de l'attribut +104 plus tard. À l'intérieur du 


formulaire lui-même se trouvent des textes et balises divers, mais surtout les champs du formulaire, ici deux balises 
input : la première constitue un champ de texte brut, la seconde un choix parmi des alternatives (composants dits 


boutons radio). 


Les champs peuvent être des zones d'entrée de texte à une (<input type="text" ... />) ou plusieurs lignes (<textarea 

. />), de menus déroulants (<select ... </select>) à choix unique ou multiple 
(multiple="multipie"), de cases à cocher (check boxes, <input type="checkbox" ... />), de boutons radio (radio 
buttons, <input type="radio" ... />), de champs de choix de fichier à télécharger sur le serveur, et last, but not 
least, de boutons déclenchant la remise à zéro des entrées effectuées (<input type-"reset" ... />) ou l'envoi des 
données au serveur (<input type="submit" ... />). Pour plus de détails, voir la section de SELFHTM dédiée aux 
formulaires. 


> <OPELONS ss SYOPÉLONS zas 


Pour Le moment, la page de résultat affichera juste un message de confirmation : 
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solutions/resultat1.php 


<! DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" 
: “"http://www.w3.org/TR/xhtml1/DTD/xhtmll-strict.dtd"> 


<html xmins="http://www.w3.0org/1999/xhtml"> 


¡<head> 

i <title>Formulaire</title> 

: <meta http-equiv="Content-Type" content="text/html;charset-=UTF-8" /> 
</head> 


<body> 
i <p>Formulaire soumis.</p> 
</body> 


</html> 


=> Essayez le formulaire ! Comment les valeurs des champs sont-elles transmises à la page de résultat ? 
Astuce : Sur la page de résultat, vous pouvez remarquer que l'URL se termine par une indication du type > 


prenom=Tim&genre=m. 


l 1.2 Traitement sur les données 


Nous allons maintenant voir comment accéder à ces champs depuis du code PHP inséré dans la page de résultat. Pour cela, 
il suffit de consulter le tableau s cer (voir le TD n°2) : 


<?php 
À echo "Bonjour, n (S SEU Mgenre"]u== MEN MM Ie M: MMM) | N SAGETM prenom. MAIN 
i?> 


=> Essayez le formulaire ! Vous pouvez vous amuser à changer à la main la valeur des champs transmis dans l'URL, et 
observer l'effet sur la page de résultat. 


Dans cette approche, le contenu des champs du formulaire apparaît dans l'URL de la page résultat. Ce n'est pas toujours 
souhaitable, par exemple lorsquon saisit un mot de passe dans le formulaire. Il existe une variante, dans laquelle les 
données sont transmises lors de la requête vers la page résultat, mais pas dans l'URL. IL suffit de changer l'attribut metnoa 
du formulaire en post (à la place de set), et d'aller chercher Les données dans le tableau 5 2057 à la place de : cer dans 


la page résultat. 


=> Installer l'exemple foumi sur votre ordinateur (code formulaire, code résultat), et modifiez ce code pour qu'il 
fonctionne en mode POST, et non plus en mode GET. 


| 1.3 Une page unique pour le formulaire et le résultat 


Dans l'exemple précédent, on ne traite pas le cas où l'un des deux champs n'est pas rempli. Dans ce cas, il serait 
souhaitable de réafficher le formulaire, en conservant le contenu des champs qui avaient été correctement remplis. 
Comme il serait peu intelligent de dupliquer le formulaire dans deux fichiers différents, nous allons utiliser un unique 
fichier, pour le formulaire et pour le résultat. Au début de la page, nous choisirons d'afficher soit le formulaire, soit la 
page de résultat, avec une condition du type : 
if (isset ($ GET["prenom"]) && $ GET("prenom"] != "" && isset($ GET["genre"])) { 
: // code de la page résultat 
J eles { 

// code du formulaire 


On affiche la page résultat si tous les champs obligatoires du formulaire ont été remplis, sinon on réaffiche le formulaire, 
dans lequel on pré-remplit les champs dont la valeur a déjà été saisie correctement. De cette façon, l'utilisateur ne perd 
pas sa saisie, même si elle est partielle. On peut procéder de la façon suivante : 


<input name= "prenom" value="<?php if(isset($ GET["prenom"])) echo $ GET["prenom"]; ?>" /> 


Le schéma suivant illustre le principe expliqué ci-dessus, dans lequel un seul fichier PHP réalise à la fois l'affichage du 
formulaire et son traitement : 
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=> À vous de jouer ! Modifiez le code de l'exercice précédent de manière à ce que le formulaire soit affiché pré-rempli 
dans le cas où un champ est manquant. 


Voici une solution à l'œuvre : formulaire3.php. 


2, Un formulaire de connexion (et déconnexion) 


Dars le TD n°3, vous avez créé une table de base de données contenant des comptes utilisateurs, notamment le login et Le 
mot de passe de chaque utilisateur. Nous allons maintenant utiliser cette information pour mettre en place un mécanisme 
de connexion (login), de façon à restreindre l'accès au site. Les utilisateurs non connectés pourront n'avoir accès quà 
certaines pages du site. Par exemple, ils pourraient être autorisés à consulter les messages d'un forum, mais pas à envoyer 


de nouveau message. 


Toutes les pages du site contiendront un formulaire de connexion ou bien de déconnexion, selon que l'utilisateur est, 
respectivement, non connecté ou connecté. Commençons par le formulaire de connexion. 


l 2.1 Génération du formulaire de connexion 


Le formulaire de login figurera dans toutes les pages. De façon à clarifier le code, nous allons écrire une fonction de 
génération du formulaire de login, que nous rangerons dans un fichier printForms .php. Plus tard, nous ajouterons à ce 


fichier la fonction de génération du formulaire de décomexion. 
Un formulaire de login doit comporter : 
e in champ de saisie du nom d'utilisateur (login) ; 
e in champ de saisie du mot de passe (l'affichage des caractères doit être masqué en utilisant un champ de type 


password) z 


e in bouton pour valider la saisie. 


C'est la page centrale de notre site, index.php, qui devra appeler printLoginform pour l'afficher sur toutes les pages 
avant connexion. En retour, nous allons convenir que le formulaire de login appellera index.php, mais avec un paramètre 
GET action=1ogin, de façon à lui signifier qu'il faut traiter une demande de connexion. 


=> Comment faire en sorte que vous puissiez à la fois appeler une page avec un paramètre GET, et envoyer les résultats 
dun formulaire ? Cela permet-il de s'assurer que le mot de passe saisi dans le formulaire de login n'apparaît jamais en clair 
à l'écran ? 


=> Dar printForms .php, écrivez une fonction printLoginForm (sans paramètre) qui affiche un formulaire de connexion. 


| 2.2 Traitement du formulaire de connexion 


Lorsque l'utilisateur validera le formulaire de connexion, la page principale index. pnp sera donc appelée, avec le 
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paramètre GET :ction-1ogin, et les champs du formulaire seront transmis. La page principale doit alors : 


1. vérifier si l'utilisateur est bien présent dans la table utilisateurs ; 
2. vérifier qu'il possède bien le mot de passe indiqué ; 
3. effectuer la conexion proprement dite. 


Pour les points 1 et 2, cela va se traduire par des requêtes SQL à effectuer sur la base de données, comme vous l'avez 
appris dans le TD3. Pour le point 3, nous avons envie que, pendant toute la suite de la navigation sur le site, à chaque 
demande dune nouvelle page, PHP puisse se souvenir de certaines informations, en l'occurence que l'utilisateur est bien 
connecté et son login. Nous aurions donc envie de créer une variable persistante. Pour ce faire, PHP nous propose le 
mécanisme des sessions. Avant de continuer sur le formulaire de connexion, voyons de quoi il s'agit... 


| 2.2.1. Variables de session 


Les variables de session sont des variables qui se transmettent de page en page pour chaque utilisateur au cours de sa 
visite, et cela de façon invisible pour le client — en fait, seul le serveur est à même de manipuler les variables de session, 
ce qui en fait un mécanisme parfait pour mémoriser, par exemple, si la vérification d'un couple utilisateur /mot de passe a 
été correctement effectuée. 


Lorsqu'un utilisateur va se comecter à un site utilisant des sessions, un identifiant, l'ID de session, unique, généré 
aléatoirement, va lui être attribué. C'est cette identification qui va suivre l'utilisateur tout au long de sa visite sur le site 
et qui permettra à PHP de distinguer un client authentifié de celui qui ne l'est pas. Les « cookies » ou témoins sont en 
général utilisés pour permettre de stocker cet identifiant. 


En utilisant XAMPP comme vous le faites, vous ne devez rien configurer pour pouvoir utiliser cette fonctiomalité. Notez 
cependant que ce n'est pas le cas pour tous les hébergeurs (par exemple, si vous avez un site chez Free, vous devez créer 
un sous-répertoire sessions à la racine du répertoire contenant votre site. C'est bon à savoir pour l'après-modex !) 


Pour ouvrir une session, il vous faut appeler la fonction session_start (). Cette fonction initialise la session de 
lintemaute. 


Notez qu'AUCUNE SORTIE, ni même des espaces ou des lignes blanches, n'est tolérée AVANT l'usage de cette 
fonction session start(). Pour plus d'informations, regardez là. Nous vous recommandons donc de faire figurer l'appel 
à session start () tout au début de index.php. PHP effectue alors les opérations suivantes : 


e PHP essaie de récupérer un ID de session pour l'utilisateur. 

e Si PHP trouve un ID de session, il restitue la session et les données associées. 

e Si PHP ne trouve pas d'ID de session (généralement parce que l'utilisateur vient d'arriver sur le site), il génère un ID 
de session et une nouvelle session est créée. 


Pour stocker les données (dans notre cas précis, un indicateur précisant si l'identification a été correcte, que l'on peut 
compléter par le nom complet de l'utilisateur ainsi que son login), on utilise la variable (tableau) $ szsston. Ainsi pour 
définir et affecter une variable de session, on utilisera une instruction du type : 


$ SESSION['mavariable'] = valeur; 


La valeur de la variable peut être obtenue par : 


$ SESSION['mavariable'] 


Une dernière commande utile est session destroy() qui permet de fermer une session. C'est typiquement la commande à 


appeler lors de la déconnexion. Avant de l'appeler, il convient cependant d'effacer toutes les variables de session. On 
emploiera donc le code suivant : 


isession unset (); 
session destroy(); 


Une méthode classique d'attaque d'un site web consiste à accéder à la session d'un autre utilisateur. Ces problèmes seront 
évoqués prochainement en amphi mais nous allons dès maintenant nous prémunir d'une telle attaque, ou du moins la 
rendre plus difficile. 


Pour cela, nous allons associer à notre session un nom quelconque (changez-le ci-dessous) avant de la créer. De plus, nous 
la regénérerons afin de rendre une attaque un petit peu plus dure. 


| 2.2.2. Création de la session 
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=> Ajoutez comme première ligne de index.php le code suivant (en modifiant sa première ligne) : 


2Php 
session name ("NomDeSessionAModifierSelonVotreGout" ); 


// ne pas mettre d'espace dans le nom de session ! 
sessions tant()f 
if (lisset($ SESSION['initiated'])) { 
session regenerate id(); 
$ SESSION['initiated'] = true; 
} 
// Décommenter la ligne suivante pour afficher le tableau $ SESSION pour le debuggage 
M printi r(e SESSTON)I 


Pour des raisons de debuggage, on pourra décommenter la demière ligne, affichant ainsi le contenu du tableau associatif 
$_SESSION. 


Lors de la décomexion de l'utilisateur, nous devrons détruire la session. Nous nous en occuperons plus tard. 


| 2.2.3. Stockage de données dans la session 


Nous vous proposons de stocker dans une variable de session, que nous appellerons 1oggeatn, le fait que l'utilisateur soit 
logé : 5 sESSION['loggedIn'] sera défini si et seulement si l'utilisateur est connecté. Nous allons écrire dans un script 
logīIn0ut .php le code servant à la connexion et à la déconnexion des utilisateurs. 


=> Dans 1ogInout .php, écrivez une fonction 1og1n (sans paramètre), qui vérifie si l'utilisateur (passé en paramètre du 
formulaire de login) est bien présent dans la base (point 1), si le mot de passe foumi est le bon (point 2) et effectue le 
login (point 3). En cas d'échec, 1og1n ne doit bien sûr pas effectuer le point 3... 


=> Pendant que vous y êtes, ajoutez au même fichier une fonction 1og0ut (sans paramètre) qui permettra d'effectuer la 
déconnexion d'un utilisateur. Nous utiliserons 1og0ut un peu plus tard. 


| 2.2.4. Modification de l'affichage en fonction des données de la session 


À ce stade, vous allez pouvoir mettre en place l'affichage et la gestion du formulaire de login dars index.php, à l'aide dun 
code du genre suivant : 


2php /* ATTENTION, le < doit être le premier caractère du fichier */ 
.. ouverture de session ... 


£f($ GET["action"] == "login") { 
login} 


/ code de sélection des pages, comme précédemment 
f(isset($ GET[pagel)) { 
$askedPage = ... 


ENST SESSION ["loggedIn"]) { 

// tout à l'heure on affichera le formulaire de déconnexion 
else { 

printLoginForm(); 


. code d'affichage des pages, comme précédemment ... 


=> Implémentez la gestion du login. 


| 2.2.5. Amélioration 


Avec le système actuel, lorsquon valide le formulaire de login, la variable s _cET["page"] nest pas correctement définie, 


et donc on se retrouve sur la page par défaut. Ce que l'on aimerait, c'est certes effectuer le login, mais se retrouver 
ensuite sur la page à partir de laquelle on a validé le formulaire. 
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Pour y parvenir, on peut modifier la fonction printLoginform danS printForms.php, de façon quelle transmette le bon 
paramètre GET. Pour cela, elle aura elle-même besoin de recevoir ce paramètre ; elle se contentera de l'ajouter à 
lattribut action. Le script appelant saura lui transmettre la bonne valeur de ce paramètre, il la tirera de sa propre 


variable de nom de page (la variable 5::xe4ra4< et non la chaîne stockée dans s cer pour tenir compte de la page par 
défaut et éviter les noms de page de pirate). Le code ci-dessus devient donc : 


if($ SESSION["loggedin"]) { 

 // tout à l'heure on affichera le formulaire de déconnexion 
i else { 

| printLoginForm($askedPage) ; 


9 


l 2.3 Déconnexion : à vous de jouer 


Avec ce que vous avez réalisé jusqu'ici, vos utilisateurs peuvent se connecter, mais pas se décomecter. Voici ce quil 
vous reste à faire pour mettre en place la déconnexion : 


e ajouter une fonction printLogoutForm dans printForms.php, SU le modèle de printLoginForm, 

e dans index.php, commander l'affichage de ce formulaire de déconnexion lorsque l'utilisateur est logué ; 

e lorsque index.php recevra une demande de déconnexion, elle devra appeler la fonction 16301: que nous avons 
écrite un peu plus haut dans 1ogInout .php. 


=> implémentez le mécanisme de déconnexion comme suggéré ci-dessus. 


| 3. Gestion des utilisateurs 


Jusqu'à présent, vous avez supposé que votre base de données contenait quelques utilisateurs, rentrés à la main la 
demière fois à laide de phpMyAdmin. Maintenant, nous allons voir comment ajouter à votre site des pages pour : 


e permettre à un nowel utilisateur de senregistrer ; 
e permettre à un utilisateur de modifier son mot de passe ; 
e permettre à un utilisateur de supprimer son compte. 


| 3-1 Formulaire d'enregistrement d'un utilisateur : « Je veux ma carte ! » 


Nous allons d'abord créer une page, que nous appellerons :25i5ter.php, pour permettre à un utilisateur de s'enregistrer et 
de créer son compte. Elle doit contenir le code HTML d'un formulaire avec les éléments suivants : 


e des champs de type texte pour le login, Le nom complet et l'adresse e-mail ; 

e des champs de type passwora pour le mot de passe et sa confirmation ; 

e ue liste déroulante pour permettre à l'utilisateur de choisir parmi les feuilles de style disponibles (vous pourrez par 
exemple réutiliser les feuilles de style des TD) ; 

e et, bien sûr, un bouton « valider >. 


Nous utiliserons la technique vue en première partie : une seule page pour le fommulaire et le traitement de ses résultats. 
Aussi, dans le formulaire, vous spécifierez action-"<?php echo $ SERVER["REQUEST uRI"]; ?>" de façon à ce que la 
même URL soit utilisée lorsque l'utilisateur valide le formulaire. 


=> Tout d'abord, créez cette nouvelle page, qui pour le moment contiendra juste le formulaire. 
> Après avoir créé la page, vérifiez quelle s'affiche correctement dans le navigateur. 


Maintenant, nous voulons effectuer un traitement lorsque l'utilisateur valide le formulaire : créer un nouveau compte ! En 
appliquant la technique de la première partie, vous allez donc restructurer la page de la façon suivante : 


e form values valid=FALSE; 


‘if (isset ($ GET["login"]) && $ GET["login"] [= "" && 
i isset ($ GET["email"]) && $ GET["email"] != "" gg 
..) { // tous les champs requis cités ici 

// code de traitement, à écrire maintenant 
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ASIE traitement réussi, on passe SFormveluemvaliid à TRUE 


if (!$form values valid) { 
i // code du formulaire, qui vient d'être écrit 
// où les valeurs par défaut des champs sont pris dans le tableau $ GET 
; // ($ GET["champ"] est vide si non défini) A 
J | 


=> Modifiez la structure pour correspondre à ce modèle. Pour le moment, vous pouvez vous contenter d'afficher un 
simple message dans la partie « traitement ». 


Le traitement du formulaire d'enregistrement d'un utilisateur doit effectuer les actions suivantes : 


1. vérifier si le login n'existe pas encore dans la base ; 
2. vérifier si Les deux mots de passe entrés sont identiques ; 
3. ajouter le compte utilisateur dans la base de données ; 


Avant de nous lancer tête baissée dans le codage, prenons le temps de réfléchir un peu... Vous avez déjà écrit une 
fonction 1ogīn qui : 


1. vérifie si un utilisateur est présent dans la base ; 
2. vérifie si son mot de passe correspond à un mot de passe donné ; 
3. et enfin effectue le login. 


La première étape du traitment du login et du formulaire d'enregistrement sont donc identiques, en conséquence nous 
pouvons factoriser cette partie... 


=> Écrire ue fonction isuser ($user) (à mettre dans auth. php) qui renvoie rrue si l'utilisateur suser existe, raLsz sinon. 


=> Modifier la fonction 1041 (dans 1o41nout . php) de façon à ce quelle utilise isuser. Testez soigneusement le 
formulaire de login ainsi modifié de façon à vous convaincre du bon fonctionnement de : user. 


> Écrire le traitement du formulaire d'enregistrement, en utilisant : user. 


=> En cas d'échec de l'enregistrement, l'utilisateur souhaite ne pas devoir remplir à nouveau tous Les champs du 
formulaire. Faites en sorte quen cas de réaffichage du formulaire, le login soit repris, en utilisant la technique expliquée 
ci-dessus. (Il nest pas d'usage de reprendre les mots de passe, qui de toute façon ne seraient pas affichés.) 


3.2 Formulaire de changement de mot de passe : « Au secours ! Ma mère a découvert 
mon mot de passe ! » 


Eh oui, ça arrive — et imaginons que ce ce mot de passe soit celui donnant accès aux photos de vous prises au dernier 
Point Gamma, clairement vous avez envie de changer rapidement de mot de passe... 


Nous allons donc concevoir une nouvelle page changepasswora, qui contiendra un formulaire muni : 


e _optionellement (selon vos goûts) d'un champ de type texte pour le login, sinon il sera pris dans la variable de 
session ; 

e de champs de type passwora pour l'ancien mot de passe, le nouveau mot de passe et sa confirmation ; 

e cet, bien sûr, d'un bouton « valider >. 


=> Créez ce formulaire et la page correspondante. 
Le traitement correspondant doit comprendre, dans cet ordre, les actions suivantes : 


1. vérifier que les deux entrées pour le nouveau mot de passe sont identiques ; 

2. vérifier quil existe dans la base un utilisateur dont le login est celui entré dans le formulaire ou dans la variable de 
session ; 

3. vérifier que l'ancien mot de passe entré dans le formulaire est identique au mot de passe associé dans la base à 
l'utilisateur en question ; 

4. mettre à jour le mot de passe haché (fonction 5:21 (Spasswa) ) dans la base de données. 


Dans chacun des points 1 à 3, il faut arrêter sans modifier la base en cas d'erreur, et réafficher le formulaire. 


Notez que normalement, dans le TD précédent, vous avez déclaré le champ 1ogin en tant que clé primaire, de façon à ce 
que plusieurs utilisateurs ne puissent pas avoir le même login ! Vous ne devriez donc pas modifier le mot de passe d'un 
autre utilisateur... 
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Le point 1 ne présente pas de difficulté. Vous venez d'écrire une fonction isuser pour traiter le point 2. 


Quant au point 3... Vous avez déjà traité ce problème dans le formulaire de login ! Comme précédemment, nous vous 
proposons donc de factoriser ce traitement. 


=> Ajoutez à auth.php Une fonction isPasswordCorrect ($user, $password) qui renvoie TRUE Si $password est le mot de 
passe de l'utilisateur suser (dont on suppose quil existe), ra1.5e sinon. Modifiez 15411 pour utiliser ispasswordcorrect, 


Le point 4 constitue la partie vraiment nouvelle : comment mettre à jour les informations existantes dans la base ? Pour 
cela, nous allons créer une expression SQL du type : 


UPDATE ‘nom table‘ SET champl ='new vall', ‘champ2 '='new val2' WHERE ‘champ3 ='old val3" 


Vous pouvez utiliser l'interface phpMyAdmin pour voir quelles requêtes elle génère pour changer des entrées de la table. 


À la lecture de cette expression, MySQL va remplacer, dans tous les enregistrements de la table nom tab1e qui ont leur 
champ3 égal à ola va13, la Valeur du champ1 Par new va11 et la Valeur du champ2 par new va12. Les champs à modifier, à 
gauche du Here, sont séparés par des virgules ; la condition à droite du wa:r: permet de sélectionner les enregistrements 
sur lesquels on veut faire les modifications. 


Bien sûr, vous devez ici adapter l'expression au cas de votre formulaire... 
> Écrivez le traitement associé au formulaire de changement de mot de passe. 
=> Vérifiez son bon fonctionnement, et notamment que : 


e vous ne pouvez changer le mot de passe que pour les utilisateurs dont vous connaissez le login et le mot de passe, et 
dont les deux entrées pour le nouveau mot de passe sont identiques, 

e les mots de passe sont effectivement changés dans la base de données et que les anciennes données qui ne doivent 
pas être modifiées (nom complet, email, etc.), sont bien conservées. 


3.3 Formulaire de suppression d'un utilisateur : « À l'aide ! Je veux partir, c'est 
tellement mieux ailleurs... » 


Même les meilleures choses ont une fin, arrivera tôt ou tard le jour où l'un de vos utilisateurs voudra se désinscrire de 
votre site. 


Nous allons créer une page de1steuser, qui contiendra un formulaire comprenant : 


e _optionellement (toujours selon vos goûts) d'un champ de type texte pour le login, sinon il sera pris dans la variable 
de session ; 

e in champ de type passwora pour le mot de passe ; 

e et, bien sûr, un bouton « valider >. 


=> Créez cette nouvelle page et Le formulaire. 

Le traitement associé doit effectuer, et dans cet ordre, les actions suivantes : 
1. vérifier que l'utilisateur dont le login est donné existe ; 
2. vérifier que le mot de passe entré dans le formulaire est bien identique à celui stocké dans la base de données ; 
3. supprimer l'enregistrement correspondant à cet utilisateur. 


Dans chacun des points 1 à 2, arrêtez sans modifier la base lorsque la condition pour continuer n'est pas remplie, et 
réaffichez le formulaire. 


Les fonctions isuser et isPasswordcorrect doivent vous permettre de traiter les points 1 et 2. Seul le point 3 est 
nouveau : comment supprimer un enregistrement de la base ? Pour cela, nous allons créer une expression SQL de la 
fome : 

DELETE FROM ‘nom table` WHERE `champx`='valx'"; 

Cette requête permet de supprimer de la table nom tab1e toutes les entrées telles que champx est égal à va1x. 


=> Écrivez le code de suppression dun utilisateur. 


=> Vérifiez que le traitement s'effectue correctement, en particulier : 
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e que vous ne supprimez que les utilisateurs dont vous avez saisi le login et le mot de passe ; 
e que Les utilisateurs supprimés le sont effectivement, c'est-à-dire qu'ils ne peuvent plus se connecter et que l'entrée 
correspondante a disparu de la table (facilement vérifiable avec phpMyAdmin). 


l 3.4 Mettre en place des liens vers nos formulaires 


=> Modifiez index.php de sorte quun utilisateur non connecté voie un lien vers le formulaire de connexion. 


=> Modifiez index.php de sorte quun utilisateur comecté voie un lien vers le fomulaire de changement de mot de 
passe et de suppression de son compte. 


| 4. Utilisation de l'identification des utilisateurs 
l 4.1 « Top secret » : réserver certaines pages seulement aux utilisateurs enregistrés 


Maintenant que nous savons gérer l'identification d'un utilisateur, servons-nous en ! Pour cela, en haut des pages content + 
réservées aux utilisateurs enregistrés, nous allons ajouter le code suivant : 


if (lisset($ SESSION['loggedIn'])) { 
i echo "Page non autorisée"; 
return 


L'appel return arrête l'exécution du code de la page et retoume à index.php pour afficher proprement la fin de la page 
principal. 


| 4.2 What else ? 


> Vous pouvez également faire en sorte quun utilisateur non connecté voie le site avec ue feuille de style par défaut, 
mais qu'un utilisateur comecté le voie avec la feuille de style qu'il a choisie. 


> De même, certaines pages pourraient afficher des contenus différents selon que l'utilisateur est connecté ou non. 


Vous disposez maintenant de toutes les briques de base pour vous 
lancer dans la création de contenu de votre propre site... À vous de 
jouer ! 
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